概述
云服务与KMS集成后,您只需在决定加密云服务数据时,选择一个KMS管理的用户主密钥,就可以轻松使用您选择的用户主密钥加解密您存储在这些云服务内的数据。
您可以选择云服务自动通过KMS创建的默认密钥,也可以选择您通过KMS自行创建或导入的自定义密钥,详细请参见默认密钥与自定义密钥的区别。
类型 |
服务 |
加密方式说明 |
---|---|---|
计算 |
弹性云服务器ECS |
弹性云服务器资源加密包括镜像加密和云硬盘加密。
|
镜像服务IMS |
||
存储 |
对象存储服务OBS |
|
云硬盘EVS |
||
云硬盘备份VBS |
云硬盘备份主要对服务器中单个的云硬盘(系统盘和数据盘)创建在线备份,加密云硬盘的备份数据会以加密方式存放。 |
|
云服务器备份CSBS |
云服务器备份主要对服务器下所有云硬盘创建一致性在线备份,云服务器备份产生的备份,会显示在云硬盘备份中。加密云硬盘的备份数据会以加密方式存放。 |
|
弹性文件服务SFS |
||
数据库 |
云数据库MySQL |
|
云数据库Postgre SQL |
||
云数据库SQL Server |
||
文档数据库服务DDS |
||
EI企业智能 |
数据仓库服务DWS |
原理介绍
华为云服务基于信封加密技术,通过调用KMS接口来加密云服务资源。由用户管理自己的用户主密钥,华为云服务在拥有用户授权的情况下,使用用户指定的用户主密钥对数据进行加密。
- 用户需要在KMS中创建一个用户主密钥。
- 华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。
密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。
- 华为云服务使用明文的数据加密密钥来加密明文文件,得到密文文件。
- 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。
用户通过华为云服务下载数据时,华为云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密,并使用解密得到的明文的数据加密密钥来解密密文数据,然后将解密后的明文数据提供给用户下载。